Добавить в корзинуПозвонить
Найти в Дзене
РесКод | Rescode
28 подписчиков

В клиенте Telega обнаружены признаки MITM-перехвата трафика Telegram

93
3 мин
Исследователи безопасности, пожелавшие сохранить анонимность, опубликовали детальный разбор клиента Telega для Android. По их данным, популярное приложение, построенное на базе Telegram, с 18 марта могло начать массово перехватывать трафик пользователей с помощью атаки «человек посередине» (Man-in-the-Middle, MITM). Man-in-the-Middle (MITM) — это тип кибератаки, при котором злоумышленник незаметно встраивается в канал связи между двумя сторонами. В случае с Telega, по версии исследователей, жертвы считают, что общаются напрямую с серверами Telegram, но на самом деле весь их трафик проходит через инфраструктуру разработчиков приложения. Согласно проведенному анализу, начиная с 18 марта клиент Telega изменил поведение при подключении к серверам: Исследователи отмечают, что подобный перехват невозможно включить незаметно для существующих пользователей без создания новой сессии. Для решения этой задачи в Telega был встроен механизм soft logout (принудительный разлогин), который очищает кон
Оглавление

Исследователи безопасности, пожелавшие сохранить анонимность, опубликовали детальный разбор клиента Telega для Android. По их данным, популярное приложение, построенное на базе Telegram, с 18 марта могло начать массово перехватывать трафик пользователей с помощью атаки «человек посередине» (Man-in-the-Middle, MITM).

Что такое MITM-атака?

Man-in-the-Middle (MITM) — это тип кибератаки, при котором злоумышленник незаметно встраивается в канал связи между двумя сторонами. В случае с Telega, по версии исследователей, жертвы считают, что общаются напрямую с серверами Telegram, но на самом деле весь их трафик проходит через инфраструктуру разработчиков приложения.

Технические детали перехвата

Согласно проведенному анализу, начиная с 18 марта клиент Telega изменил поведение при подключении к серверам:

  1. Перенаправление трафика. Приложение начало запрашивать у api.telega.info конфигурацию dc-proxy, которая содержит список IP-адресов. Эти адреса подставляются вместо официальных адресов дата-центров Telegram.
  2. Подмена ключей. В криптографическую библиотеку клиента был добавлен дополнительный RSA-ключ, отсутствующий в оригинальном приложении Telegram.
  3. Результат. Эта комбинация позволяет Telega принимать «рукопожатие сессии» (процесс установления зашифрованного соединения) на своей стороне и проксировать весь трафик между пользователем и Telegram через собственные серверы.

Механизм принудительной активации

Исследователи отмечают, что подобный перехват невозможно включить незаметно для существующих пользователей без создания новой сессии. Для решения этой задачи в Telega был встроен механизм soft logout (принудительный разлогин), который очищает конфигурацию аккаунта, удаляет ключи сессии и разрывает соединения.

Запуск этого механизма может происходить несколькими способами, в том числе через промо-баннер с предложением «перезайти в приложение, чтобы ускорить соединение». Это объясняет, как схема могла быть развернута как для новых, так и для уже существующих пользователей.

Обнаруженные панели управления и модерация

В ходе исследования на поддоменах telega.info были обнаружены тестовые панели с кодовыми названиями Zeus и Cerberus:

  • Zeus описывается как тикет-система для обработки запросов на блокировку контента. В описании панели упоминается адрес stream@rkn.gov.ru, что указывает на возможную интеграцию с системой для исполнения требований российских регуляторов.
  • Cerberus представляет собой интерфейс для модерации сообщений в реальном времени. Он использует ИИ-классификацию для быстрого применения санкций против пользователей.

Клиент Telega отправляет запросы на api.telega.info/v1/api/blacklist/filter при включении соответствующих настроек. В результате приложение может самостоятельно блокировать открытие каналов, чатов, ботов и профилей, создавая у пользователя иллюзию, что ограничение исходит от самой платформы Telegram.

Отключение защиты и секретных чатов

Авторы разбора указывают на критическое ослабление безопасности в клиенте Telega:

  1. Perfect Forward Secrecy (PFS). В приложении отключена система PFS, которая обеспечивает защиту прошлых сессий в случае компрометации долговременного ключа шифрования.
  2. Секретные чаты (Secret Chats). Telega получает remote config через Firebase, где флаг enable_sc (вероятно, «enable secret chat») сейчас выставлен в значение false.
    Это приводит к тому, что интерфейс скрывает кнопку запуска секретного чата (end-to-end шифрование).
    Кроме того, клиент может просто игнорировать входящие запросы на создание такого чата без уведомления пользователя.

Выводы и возможные угрозы

Если выводы проведенного анализа верны, владельцы инфраструктуры Telega получают широкие возможности, выходящие за рамки обычного стороннего клиента:

  • Доступ к переписке. Теоретический доступ ко всей истории сообщений в облачных чатах.
  • Подмена контента. Возможность подмены передаваемого контента.
  • Компрометация аккаунта. Возможность выполнения действий от имени аккаунта пользователя.
  • Целенаправленное отключение безопасности. Принудительное отключение сценариев защищенных end-to-end переписок.

Авторы разбора подчеркивают, что обнаруженные архитектурные изменения указывают на наличие системного подхода разработчиков Telega к модерации и ограничению контента, что может представлять серьезную угрозу для приватности и безопасности пользователей.

Сайт и соц. сети:
Сайт
Telegram канал
Группа ВКонтакте

1
Гаджеты и электроника
5,73 млн интересуются